このページでは、ポイントツーポイントプロトコルを使用して、モデムが接続されたLinuxシステムをダイヤルインサーバーとしてセットアップするプロセスについて説明します。 (PPP)、他のコンピュータがそれにダイヤルアップして接続されたネットワークにアクセスできるようにします。
コンテンツ
LinuxでのPPPの概要
モデムが接続されているLinuxシステムは、他のコンピュータがモデムにダイヤルアップしてPPPセッションを開始できるように構成でき、システムと接続されているネットワークへのTCP/IPアクセスを提供します。これにより、ミニチュアISPのように機能することができます。実際、一部の小規模なISPは、アクセスサーバーとして複数のシリアルポートカードを備えたLinuxシステムを使用して実行されています。
2つの別々のプログラムが、ダイヤルインサービスのさまざまな部分を担当します。 1つ目はmgetty 、接続されたモデムとシリアルポートで通信し、電話に応答するように指示します。サーバーとクライアントのモデムが接続されたら、 mgetty テキストログインプロンプトを表示し、ユーザー名またはPPPセッションの開始を待ちます。クライアントはテキストモードでログインして、PPPセッションをまったく開始しなくてもUnixシェルプロンプトを取得できますが、これが最近行われることはめったにありません。クライアントが切断またはログアウトしたら、 mgetty モデムを切断し、新しい接続を待ちます。
mgettyをインストールするには ソフトウェアパッケージモジュールを使用できます。
ほとんどのクライアントは接続するとすぐにPPPセッションを開始するため、 mgetty 通常、個別の pppdを実行するように構成されています PPP接続を検出した場合のプログラム。これにより、サーバー上にpppネットワークインターフェイスが作成され、クライアントが認証され、IPアドレスが割り当てられ、PPPプロトコルを使用してデータの送受信が開始されます。割り当てられたIPアドレスおよびその他の構成オプションは、シリアルポートごとにsetを使用しているため、複数のモデムを使用して、異なるアドレスを持つ複数の同時クライアントをサポートできます。
PPP Dialin Serverモジュールを使用すると、mgettyと pppdの両方をセットアップできます。 クライアントがダイヤルインしてPPPセッションを開始できるようにします。ネットワークカテゴリから入力すると、メインページに4つのアイコンが表示され、その下に実際の構成可能なオプションが表示されます。
現在、PPP Dialin Serverモジュールは、LinuxおよびSolarisシステムでのみ使用できますが、mgettyは他のいくつかのバージョンのUnixで使用できます。構成するプログラムがどちらもインストールされていない場合、メインページにエラーメッセージが表示されますが、すべてのLinuxディストリビューションには pppdのパッケージが含まれています。 そして彼らのCDまたはウェブサイトのmgetty。 mgettyのみがインストールされている場合は、シリアルポート構成を使用できます。 および発信者IDアクセス 特徴。逆に、pppdのみがインストールされている場合は、PPPオプションにのみアクセスできます。 およびPPPアカウント ページ。
モジュールを使用してシリアルポートで通話に応答するようにmgettyを設定すると、エントリが / etc / inittabに追加されます。 initが起動時にmgettyプロセスを実行するようにファイルし、必要に応じて再実行します。このエントリはSysVInit構成モジュールで確認できますが、何をしているかを理解していない限り、そこで編集しないでください。
この章はLinuxを念頭に置いて書かれていますが、モジュールはSolarisでもほぼ同じように動作します。唯一の違いは、シリアルポートデバイスファイルの名前ですが、 / dev / ttyS0 はLinuxの最初のシリアルポートであり、Solarisは / dev / term / aを使用します 代わりに。
PPPサーバーの構成
PPPダイヤルインサーバーのメイン画面クライアントがPPPに接続できるようにシステムを設定する前に、モデムをシリアルポートに接続するか、ヌルモデムケーブルを介して別のマシンに接続する必要があります。シリアルポートをエミュレートする内蔵モデムも使用できますが、モデムが接続されているか、送信しているかなどを示すLEDが簡単に表示されないため、お勧めしません。 USBモデムは、カーネルによって認識されている限り機能するはずですが、おそらく特別なデバイスファイルを使用します。 Linuxで使用可能なモデム用のドライバーがない限り、動作するために特別なドライバーを必要とするモデム(一般にWinmodemsとして知られています)はまったく使用できません。
当然、モデムは電話回線に接続する必要があります。システムは数回の呼び出し音の後に電話に応答するように構成されているため、電話回線を他の目的に使用しないでください。そうしないと、音声発信者はモデムによって通話に応答することになり、あまり友好的ではありません。
- シリアルポートの構成
すべてのハードウェアの準備ができたら、システムをPPPサーバーとしてセットアップする手順は次のとおりです。
- モジュールのメインページで、シリアルポート構成をクリックします。 アイコン。これにより、PPPまたはボイスメール用に構成されている既存のポートを一覧表示するページが表示されます。
- 新しいシリアルポートを追加をクリックします リンクをクリックすると、下の最初のスクリーンショットに示されているポート構成フォームが表示されます。
- シリアルデバイスを設定します モデムまたはヌルモデムケーブルが接続されているポートに接続します。 シリアルポート1 デバイスファイル/dev/ttyS0などに対応します。 / dev / ttySで始まらないシリアルデバイス上のモデム(USBモデムなど)の場合は、その他のデバイスを選択します。 オプションを選択し、メニューの横のテキストフィールドに完全なデバイスファイルパスを入力します。
- タイプを設定します 直接接続のいずれかのオプション (ヌルモデムケーブルを介して接続されたシステムの場合)、またはモデム (実際のダイヤルインモデムの場合)。
- ポート 速度フィールドは、モデムまたはヌルモデム接続が使用するボーレートに設定する必要があります。これは、57600や33600などの標準速度の1つである必要があります。
- 回答 フィールドの後に、mgettyが電話に応答する前に待機する呼び出し音の数を入力します。モデムが接続されている電話回線が音声通話の受信にも使用される場合は、これを20のような大きな値に設定して、モデムが応答する前に電話に応答するための十分な時間を確保できます。当然、このオプションはヌルモデム接続には意味がありません。
- 作成をクリックします ボタン。新しいエントリが/etc/ inittabファイルに追加され、シリアルポートリストに戻ります。
- [構成の適用]をクリックします 新しいポートでmgettyをアクティブにします。モデムが接続されている回線への電話は、設定された呼び出し回数の後に応答されるはずです。テキストのみのクライアントのみを気にする場合は、これ以上何もする必要はありません。クライアントはダイヤルアップし、ログインプロンプトで認証し、シェルコマンドを実行できます。
- PPPオプション
- PPPを設定するには、PPPオプションをクリックします アイコンをメインページに戻します。これにより、下の2番目の画像に示すフォームが表示されます。ここで、すべてのPPP接続に適用されるオプションを設定できます。
- クライアントがテキストモードでログインしてpppdコマンドを手動で開始する場合を除き、[*シリアルポートでPPP接続を自動的に検出しますか?*]オプションをはいに設定することをお勧めします。 。これを有効にすると、mgettyは、サーバーがログインプロンプトを待機しているときに、クライアントがPPPセッションを開始することを望んでいることを検出し、pppdを自動的に実行します。
- PPPIPアドレス内 [フィールド]に、サーバーの接続の端で使用するIPアドレス(*ローカルIP *)とクライアントの接続の端のアドレス(リモートIP )を入力します。 )。通常、これらのアドレスはローカルLANにはなく、別のサブネットにあります。ネットワーク上の他のシステムは、クライアントのアドレスのトラフィックをシステムにルーティングして、通信できるように構成する必要があります。アドレスが指定されていない場合、PPPサーバーはクライアントから提供されたアドレスを使用します。これは、ヌルモデムを介して2台のマシンを接続する場合には意味がありますが、ほとんどのダイヤルアップクライアントでは機能しません。 プロキシARPエントリを作成しますか?をオンにすることで、ローカルLANの範囲内にあるIPアドレスをクライアントに割り当てることができます。 オプション。これが有効になっている場合は、未使用のLANIPアドレスをリモートIPに入力します フィールドとシステムの現在のイーサネットIPをローカルIPに入力します 分野。
- 制御線モードを設定します ローカルへのフィールド ヌルモデム接続の場合、またはモデム シリアルポートに接続されている実際のモデムがある場合。
- ヌルモデム接続を設定していない限り、潜在的な攻撃者が接続するのを防ぐために、クライアントを強制的に認証する必要があります。認証をオンにするには、[*認証が必要ですか?*]フィールドをはいに設定します 。ヌルモデムを使用するために完全にオフにするには、フィールドをいいえに設定します。 。クライアントが認証するためのユーザー名とパスワードを設定するには、以下の「PPPアカウントの管理」セクションを参照してください。
- 長期間アイドル状態になっているクライアントを切断するには、切断までのアイドル時間に秒数を入力します 分野。
- ネットワーク上の任意のDNSサーバーのIPアドレスをクライアントのDNSサーバーに入力します 分野。 Windowsなどのクライアントオペレーティングシステムはそれらを自動的に使用するため、構成が簡単になります。
- 最後に、[保存]をクリックします ボタン。これで、クライアントはダイヤルインしてPPPセッションを確立し、システムとネットワークにアクセスできるようになります。
- 発信者IDアクセス
システムに複数の同時PPPクライアントを接続する場合は、シリアルポートごとに異なるオプションを設定する必要があります。特に、ローカルアドレスは再利用できますが、クライアントごとに異なるリモートIPアドレスが必要です。
シリアルポートごとに異なるPPPオプションを設定するには、次の手順に従います。
- モジュールのメインページで、PPPオプションをクリックします。 アイコン。 PPPIPアドレスを変更する フィールドをクライアントからに戻します 、およびポートごとに設定するその他のオプションもデフォルトに戻します。
- メインページに戻り、シリアルポート構成をクリックします。 次に、編集で Port PPP Configの下のリンク オプションを設定するシリアルポート用。これにより、ポートごとのオプションページが表示されます。これは、図18-2に示すグローバルPPPオプションフォームと非常によく似ています。
- このポートに接続するPPPクライアントに割り当てるリモートIPアドレスとローカルIPアドレスを入力し、グローバルPPPオプションページで設定されていないその他のオプションを変更します。
- 完了したら、[保存]をクリックします ボタン。構成されたポートに接続するクライアントは、今後新しいオプションを使用します。
システムがPPPサーバーとして機能しないようにする最も簡単な方法は、モデムのシリアルポート構成エントリを削除することです。複数のモデムが接続されている場合は、以下の手順を使用して、他のモデムに影響を与えずに1つのモデムを無効にすることができます。
- メインページで、シリアルポートの構成をクリックします。 次に、モデムが接続されているポートのデバイス名。
- [ポートオプション]ページで、[削除]をクリックします 右下隅のボタン。適切なエントリが/etc/ inittabファイルから削除され、有効なポートのリストに戻ります。
- 構成の適用をクリックします ボタンをクリックして、変更をアクティブにします。今後、システムは着信に応答したり、ヌルモデムケーブルで接続された別のコンピュータと通信したりしなくなります。
PPPアカウントの管理
システムへのダイヤルインアクセスを有効にする場合は、[認証が必要ですか?]をオンにして、すべてのクライアントに自分自身の認証を強制する必要があります。 PPPオプションのオプション ページ。モデムが接続されている回線の電話番号を知っているだけでサーバーがクライアントを認証する必要がないと思われる場合でも、誰かが偶然にその番号に遭遇した場合に備えて、サーバーを有効にすることをお勧めします。安全でないサーバーを探して何百もの電話番号を試している「戦争ダイヤラー」がそれを見つけた場合。認証を有効にしたら、次の手順に従ってログインを許可する新しいアカウントを追加できます。
- モジュールのメインページで、PPPアカウントをクリックします。 アイコン。これにより、他のサーバーにダイヤルアウトするために作成されたアカウントを含む、既存のすべてのアカウントを一覧表示するページに移動します。
- 新しいPPPアカウントを作成するに従ってください リンクをクリックすると、以下に示すアカウント作成フォームが表示されます。
- ユーザー名にログイン名を入力します フィールド、およびその任意を確認してください オプションが選択されていません。
- サーバーを確認してください フィールドは任意に設定されます 。他の値に設定した場合、ユーザー名は、クライアントのホスト名が入力内容と一致する場合にのみ受け入れられます。
- 設定を選択します パスワード*フィールドのオプション 、*そしてアカウントのパスワードをその隣のテキストフィールドに入力します。 ファイルからを選択して、PPPサーバーに別のファイルからパスワードを読み取らせることもできます。 オプションを選択し、テキストフィールドにファイル名を入力します。または、なしを選択して、パスワードを入力する必要を完全になくすことができます。 -ただし、これはセキュリティの観点からはあまり良い考えではありません。
- すべてのクライアントにIPアドレスが割り当てられていると仮定して、有効なアドレスを設定します すべてを許可するフィールド 。ただし、[PPPオプション]ページでアドレスが指定されていない場合は、[許可]リストを選択し、その下のテキストボックスに受け入れ可能なアドレスを入力することをお勧めします。
- 最後に、[保存]をクリックします ボタンをクリックすると、新しいPPPアカウントが作成されます。クライアントを接続することですぐに使用できます。
- 新しいPPPアカウントの作成
既存のPPPアカウントを編集するには、アカウントリストからそのユーザー名をクリックするだけです。これは、上の画像に示されている作成フォームとほぼ同じであるアカウント編集フォームに移動します。ユーザー名、パスワード、またはその他のオプションを変更し、保存をクリックします ボタンをクリックして変更を保存し、すぐにアクティブにします。または、削除をクリックします 代わりに、編集フォームのボタンをクリックしてアカウントを削除してください。
デフォルトでは、Webminは新しいユーザーを/ etc / ppp/pap-secretsファイルに追加します。これは、デフォルトで使用されるPAP認証を実行するときにPPPサーバーによってのみ読み取られます。代わりに、より安全なCHAPプロトコルを使用してクライアントを認証するようにシステムを手動で構成した場合は、代わりにchap-secretsファイルを編集するようにWebminを構成する必要があります。これは、 Module Configをクリックして実行できます。 メインページの左上隅にあるリンクをクリックし、PAPシークレットファイルを変更します / etc / ppp/chap-secretsへのフィールド。
発信者IDによるアクセスの制限
電話回線で発信者IDが有効になっていて、モデムがそれをサポートしている場合、mgettyは、電話番号に基づいて特定の発信者をブロックするように構成できます。デフォルトでは、すべての発信者が接続を許可されますが、次の手順に従って、少数の番号のみが許可されるように変更できます。
- モジュールのメインページで、発信者IDアクセスをクリックします。 アイコン。これにより、制限された番号を一覧表示するフォームが表示されます。まだ追加していない場合は、おそらく空になります。
- 新しい発信者ID番号を追加をクリックします リンクをクリックすると、新しい番号を入力するためのフォームに移動します。
- 電話番号を設定します で始まる番号のオプション 、許可する電話番号の一部または全部をその横のフィールドに入力します。 555のようなものを入力した場合 、電話番号が 555で始まる発信者 ( 555-1234 など )が許可されます。
- アクションを設定します 許可するフィールド 。
- 作成をクリックします ボタンをクリックすると、番号が保存され、許可および拒否されたもののリストに戻ります。
- 別の許可された番号を追加するには、手順2〜5を繰り返します。
- 最後に、新しい発信者ID番号を追加をクリックします。 もう一度、作成フォームに電話番号を設定します 〜すべての番号 およびアクション 拒否 。
- 作成をクリックします この最後の拒否エントリをリストに追加するには、ボタンをクリックします。今後は、明示的に許可した電話番号のみが接続できるようになります。
システムはリスト内の各エントリを順番にチェックし、一致するエントリが見つかると停止するため、すべての発信者を拒否(または許可)するエントリはリストの一番下に表示される必要があります。そうでない場合、それ以降のエントリは処理されません。将来、新しい電話番号を許可する場合は、移動に矢印を追加してから 列を使用して、全員を拒否する最後のエントリの上に移動する必要があります。
一部のクライアントは発信者ID情報を提供しない場合があるため、不明な番号 P * hone number *フィールドのオプションを使用して、コールを照合できます。ただし、不明な発信者をすべて許可することは、既知の攻撃者をブロックする良い方法ではありません。攻撃者は、電話回線での発信者ID情報の送信を無効にする可能性があるためです。
発信者番号は電話会社によって提供され、完全に管理されているわけではないため、発信者IDの制限がダイヤルインサーバーの唯一のセキュリティ形式であってはなりません。すべてのクライアントが強制的にログインできるように、PPP認証も有効にする必要があります。
モジュールアクセス制御
他のモジュールと同様に、このモジュールには、ユーザーが使用できる機能を制御するためにWebminユーザーモジュールで設定できるいくつかのオプションがあります。これらは、特定のシステムで使用されないモジュールの部分を無効にする場合に最も役立ちます。たとえば、特定のユーザーに対してのみPPPアカウントページを表示したい場合があります。
ユーザーまたはグループのこのモジュールのアクセス制御オプションを編集するには、次の手順に従います。
- Webminユーザーモジュールで、モジュールへのアクセスを許可されたユーザーの名前の横にある[PPPダイヤルインサーバー]をクリックします。
- 利用可能なページの場合 フィールドで、ユーザーがアクセスできないようにするモジュールのメインページ上のアイコンの選択を解除します。 PPPオプションの選択を解除すると、単一のシリアルポートに適用されるオプションも編集できなくなります。
- ユーザーに1つのページへのアクセスのみが許可されている場合は、 1つのページに直接移動しますか? はいへのフィールド モジュールに入ると、ブラウザはそのページに直接ジャンプします。これは、モジュールにアイコンが1つしかない場合に、モジュールのメインページをスキップするのに役立ちます。
- 保存をクリックします ボタンをクリックして、アクセス制御設定をアクティブにします。